Was ist ISAE 3402 | SOC 1?
ISAE 3402 ist der Standard für Outsourcing. Um sich zertifizieren zu lassen, muss eine Organisation über einen SOC-Bericht (Service Organization Control) verfügen. Ein SOC-Bericht ist ein Bericht, der eine Beschreibung des Risikomanagementsystems enthält. Dieser Bericht wird dann jährlich von einem Service-Auditor überprüft. Eine Organisation, die Dienstleistungen anbietet, wird als Dienstleistungsorganisation bezeichnet. Durch einen ISAE 3402-Bericht legt eine Dienstleistungsorganisation gegenüber einer anderen Organisation (einer Nutzerorganisation) Rechenschaft über die im Rahmen des Service Level Agreement (SLA) durchgeführten Prozesse und die Kontrolle über diese Prozesse ab. Der Standard ist der Nachfolger des SAS 70-Standards und wurde 2011 eingeführt.
ISAE 3402 und Outsourcing
Unternehmen lagern zunehmend aus, insbesondere im IT-Bereich. Unternehmen, die auslagern, wollen Einblick in die Informationssicherheit, die Betrugsprävention und das Risikomanagement im Allgemeinen. Dies ist besonders wichtig, da immer mehr wichtige Geschäftsprozesse ausgelagert werden. Daher ist es von entscheidender Bedeutung zu wissen, wer Zugang zu den Informationen hat und ob es eine ausreichende Aufgabentrennung gibt, um Betrug zu verhindern. Ein ISAE 3402-Bericht liefert diesen Einblick.
Inhalt des Berichts
Neben der allgemeinen Übersicht muss der Bericht auch Prozesse enthalten, die sich potenziell auf den Jahresabschluss auswirken können (Finanzprozesse). Dazu gehören auch IT-Prozesse, die als allgemeine IT-Kontrollen bekannt sind. Darüber hinaus kann ein ISAE 3402-Bericht sicherstellen, dass die ausgelagerten Prozesse gemäß den vereinbarten SLAs durchgeführt werden. Der SOC-Bericht besteht aus einem allgemeinen Teil, der auf dem Standard COSO 2013 basiert, und einer Kontrollmatrix. Lesen Sie mehr über den Inhalt des Berichts und die beiden Arten von Berichten: ISAE 3402 Typ I und Typ II.
Beispiel für Outsourcing
Ein Pensionsfonds lagert die Vermögensverwaltung an einen Vermögensverwalter aus. Pensionsfonds müssen das Pensionsgesetz (PW) einhalten. Das Rentengesetz verlangt, dass die Pensionskasse nachweist, dass die ausgelagerten Prozesse kontrolliert werden – in diesem Fall ist die Pensionskasse die Nutzerorganisation und der Vermögensverwalter die Serviceorganisation. Die Vereinbarungen zwischen dem Pensionsfonds und dem Vermögensverwalter werden im Vermögensverwaltungsvertrag und möglicherweise in einem SLA dokumentiert. Daher fordert die Pensionskasse einen ISAE 3402-Bericht von der Serviceorganisation an. Mit diesem Bericht weist die Pensionskasse nach, dass sie die ausgelagerten Prozesse „unter Kontrolle“ hat und dass sie das Rentengesetz für diese Auslagerung einhält. In einer solchen Situation möchte die Pensionskasse (die „Nutzerorganisation“) Einblick in:
- ob Investitionen für den Jahresabschluss korrekt und vollständig verarbeitet werden
- ob die Vermögensverwaltung in Übereinstimmung mit Gesetzen und Vorschriften erfolgt
- Ob es ausreichende Sicherheitsvorkehrungen gegen Betrug gibt
- Ob die Sicherheit beim Vermögensverwalter angemessen umgesetzt wird
- ob die spezifischen Anforderungen des Rentengesetzes erfüllt sind
Der Pensionsfonds wird vom Vermögensverwalter verlangen, dass er die oben genannten Themen in den Umfang des ISAE 3402 Berichts aufnimmt. Der Wirtschaftsprüfer des Pensionsfonds wird den ISAE 3402-Bericht des Vermögensverwalters im Rahmen der Prüfung des Jahresabschlusses des Pensionsfonds einsehen. Der Prüfer braucht die Verfahren beim Vermögensverwalter nicht gesondert zu prüfen, da der Prüfer für die Dienstleistungen bereits darüber berichtet hat.
Zusätzlicher Wert
Der primäre Mehrwert für eine Nutzerorganisation besteht darin, dass sie auf der Grundlage des Berichts zur Kontrolle der Serviceorganisation feststellen kann, ob die Maßnahmen zur Informationssicherheit oder zur Betrugsbekämpfung angemessen sind. Dies ist auch eine wichtige Information für den Prüfer der Benutzerorganisation. Der Prüfer der Nutzerorganisation kann im Rahmen der Prüfung des Jahresabschlusses der Nutzerorganisation beurteilen, ob die Maßnahmen bei der Serviceorganisation ausreichend gestaltet sind. Zusätzlich hat ein (anerkannter) anderer Prüfer festgestellt, ob diese Maßnahmen existieren (Typ I) und haben effektiv gearbeitet (Typ II). Der Prüfer muss dann keine separaten Kontrollen bei der Dienstleistungsorganisation durchführen.